IT業界社群及資訊平台

【偵測神器】管理多雲環境 一個平台清除所有威脅

在數碼轉型的大勢所趨之下,很多公司已將數據資料庫交由雲端處理,更有不少企業採用 Hybrid Cloud,運用多個 Public Cloud 及 Private Cloud,具有高度可靠性,讓企業能按安全性等考慮,靈活部署在公共或私有基礎架構(infrastructure)環境中的工作負載,根據需要將工作分散在不同的雲上,並滿足 Compliance 的要求。使用 Hybrid Cloud 時,企業或遇到以下幾個難處:

1.使用 Hybrid Cloud 時,企業最大的困擾必然是兼容性問題,例如最多企業使用的 AWS、Azure、Google Cloud 等,不同的雲端服務供應商有各自的管理平台及工具,未能集中管理。

2.企業亦需負責 Cloud Security 中的 Shared Responsibility,而用上不同類型的雲端服務,就有相應程度的責任(見下圖紫紅色方塊標示):

【偵測神器】管理多雲環境 一個平台清除所有威脅
上圖所見,紫紅色方塊所標示的是在不同服務下,企業需就雲端保安所盡的 Shared Responsibility。

但無論是 IaaS (infrastructure-as-a-service)、PaaS (platform-as-a-service),抑或是 SaaS (software-as-a-service),雲端服務用家都需要自行管理用戶存取(User Access)及保護數據(Data),雲端服務供應商不能代勞;如遇上 Application 被入侵,企業便要自己作調查,查找漏洞,而用戶活動(User Activities)也需要利用其他工具協助追蹤。

3.而在 Cloud Computing 最大的威脅中,有一半非雲端服務供應商可處理,如錯誤的控制改動;不足夠的身份、憑證、存取及金鑰管理;內部攻擊等,以上威脅需要企業的 Security Team 掌握應付方法。

以上種種疑難,Splunk 的服務方案都能夠為你解決;以一個平台,擊退所有難題。

簡易管理所有雲端建設 掌握用戶活動

無論使用哪一個雲端服務供應商的服務,Splunk 都能助你實時監察所有雲端建設的情況,簡易管理多雲環境下的數據,集中在一個管理平台內,掌控所有雲端內的用戶活動,堵塞漏洞,方便做好調查及發現潛藏威脅,保護在 Hybrid Cloud 環境內的資料;即使要處理數據遷移 (Data Migration)的程序,在 Splunk 的平台中,你可以在清晰、透明的情況下,管理整個遷移過程。

Machine Learning精準分析異常行為

Splunk Security Operations Suite 擁有成熟的雲端保安程序,由收集數據開始,監察終端用戶有否異常的行動舉措,繼而再完透過 Machine Learning 作日常檢查,偵測在各個雲端環境中有否存在惡意軟件。除了能準確分析用戶行為之外,亦能辨識攻擊趨勢。Splunk Security Essentials 內的 MITRE ATT&CT 能將用戶存取分類,能分辨出攻擊行為;該應用程式更能分析攻擊者的一系列動作模式,是屬於哪一個攻擊群組,並提供以 MITRE 為本的流行攻擊內容建議。

揪出來歷不明登入 執行DNS Tracing

方案以威脅為本的監察系統運作,按不同偵測邏輯(Detection Logic)運算,例如當有來自未見過的區域/ 城市/ 國家的登入活動,或者有用戶加入 Cloud Instance,當發現用戶登入後作出與平時不同的行為時,系統便會運行 Machine Learning 程序,自動監測其行為,在 MITRE model 中亦有範例展示如何偵測入侵及攻擊。而針對儲存空間(Storage)的設置亦有偵測邏輯,如突然開放權限至公眾或是讓不明來歷者進入系統,或是有未見過的 IP Address 進入儲存空間,以上種種行為都會被 Splunk 揪出來。要抵擋外來攻擊,如勒索軟件及惡意軟件等的入侵,防火牆未必是最重要的配置,更重要的是 DNS trace,即使是 Out of the box rules,都可以計算得到,並且檢查攻擊是否源自假 Domain。

唯一做到Log Level以外Security Investigation

Splunk Security Essentials 能讓你看到在各雲端平台上存在的可疑之處,而 ATT&CK 平台則能看到會否有不同的攻擊入侵雲端系統,兩者結合能完善查找在雲端上的威脅,讓你能一步到位,抵擋外來入侵,保護數據機密。保護措施時常更新,才能應對不斷進步的攻擊手法,Splunk ES Content Update 每月更新內容,包含網絡安全攻擊及雲端入侵手段、應對資訊等,例如可檢查有否被進行 Cloud Hijacking 作 bitcoin mining 等,提供相關的 Template 協助監察、調查及回應。Splunk 除了用 O18N 收集 Kubernetes log 外,亦會透過 AIOps 工具收集 Metrics 及 Trace,是市場上唯一可以做到 Beyond Log Level 的 Security Investigation 服務供應商。

總括而言,Splunk 的服務方案可以讓你輕鬆管理所有雲端平台,追蹤並監察運作異常之處,解決雲端服務供應商服務以下的 Shared Responsibility 部分,讓公司的 IT 專家傳統需要以手動完成的 mapping 工作,現在可交給系統自動完成,將人力資源集中在處理及調查 high confidential 個案。配合 Splunk Phantom 使用,內設 Playbook 讓你針對不同 cloud hijacking 的情況,做好 isolation 及 special investigation,及按需要加設不同的 logic,不用再由零開始建立應對方案。

 

點擊以下連結登記資料,你便可以免費重温Splunk – Threat Hunting for Multi-cloud Environments網上研討會,了解應付以上難題的解決方案。

主題:Splunk – Threat Hunting for Multi-cloud Environments
長度:50分鐘
語言:廣東話(含英文術語)

立即登記:http://bit.ly/3qra0TJ